Testare le regole di riduzione della superficie di attacco

  • Articolo

Si applica a:

Il test Microsoft Defender per endpoint regole di riduzione della superficie di attacco consente di determinare se le regole impediscono le operazioni line-of-business prima di abilitare qualsiasi regola. A partire da un piccolo gruppo controllato, è possibile limitare potenziali interruzioni del lavoro durante l'espansione della distribuzione nell'organizzazione.

In questa sezione della guida alla distribuzione delle regole di riduzione della superficie di attacco si apprenderà come:

  • configurare le regole usando Microsoft Intune
  • usare Microsoft Defender per endpoint report delle regole di riduzione della superficie di attacco
  • configurare le esclusioni delle regole di riduzione della superficie di attacco
  • abilitare le regole di riduzione della superficie di attacco con PowerShell
  • usare Visualizzatore eventi per gli eventi delle regole di riduzione della superficie di attacco

Nota

Prima di iniziare a testare le regole di riduzione della superficie di attacco, è consigliabile disabilitare prima tutte le regole impostate in precedenza su controllo o abilitazione (se applicabile). Per informazioni sull'uso del report sulle regole di riduzione della superficie di attacco per disabilitare le regole di riduzione della superficie di attacco, vedere Report sulle regole di riduzione della superficie di attacco.

Iniziare la distribuzione delle regole di riduzione della superficie di attacco con l'anello 1.

La procedura di test Microsoft Defender per endpoint riduzione della superficie di attacco (regole ASR). Controllare le regole di riduzione della superficie di attacco e configurare le esclusioni delle regole asr. Configurare le regole asr Intune. Esclusioni delle regole asr. Visualizzatore eventi regole ASR.

Passaggio 1: Testare le regole di riduzione della superficie di attacco usando Audit

Iniziare la fase di test attivando le regole di riduzione della superficie di attacco con le regole impostate su Audit, a partire dagli utenti o dai dispositivi campione nell'anello 1. In genere, è consigliabile abilitare tutte le regole (in Controllo) in modo da poter determinare quali regole vengono attivate durante la fase di test. Le regole impostate su Audit in genere non influiscono sulle funzionalità dell'entità o delle entità a cui viene applicata la regola, ma generano eventi registrati per la valutazione; non vi è alcun effetto sugli utenti finali.

Configurare le regole di riduzione della superficie di attacco usando Intune

È possibile usare Microsoft Intune Endpoint Security per configurare regole di riduzione della superficie di attacco personalizzate.

  1. Aprire l'interfaccia di amministrazione Microsoft Intune.

  2. Passare a Endpoint SecurityAttack surface reduction (Riduzione della superficie di attacco di Endpoint Security>).

  3. Selezionare Create Criteri.

  4. In Piattaforma selezionare Windows 10, Windows 11 e Windows Server e in Profilo selezionare Regole di riduzione della superficie di attacco.

    Pagina di creazione del profilo per le regole asr

  5. Selezionare Crea.

  6. Nella scheda Informazioni di base del riquadro del profilo Create aggiungere un nome per il criterio in Nome. In Descrizione aggiungere una descrizione per i criteri delle regole di riduzione della superficie di attacco.

  7. Nella scheda Impostazioni di configurazione , in Regole di riduzione della superficie di attacco, impostare tutte le regole su Modalità di controllo.

    Configurazione delle regole di riduzione della superficie di attacco alla modalità di controllo

    Nota

    Ci sono variazioni in alcuni elenchi delle regole di riduzione della superficie di attacco; Bloccato e Abilitato forniscono la stessa funzionalità.

  8. [Facoltativo] Nel riquadro Tag ambito è possibile aggiungere informazioni sui tag a dispositivi specifici. È anche possibile usare i tag di ambito e il controllo degli accessi in base al ruolo per assicurarsi che gli amministratori corretti abbiano l'accesso e la visibilità corretti per gli oggetti Intune corretti. Altre informazioni: Usare il controllo degli accessi in base al ruolo e i tag di ambito per l'IT distribuito in Intune.

  9. Nel riquadro Assegnazioni è possibile distribuire o "assegnare" il profilo ai gruppi di utenti o dispositivi. Altre informazioni: Assegnare profili di dispositivo in Microsoft Intune

    Nota

    La creazione di gruppi di dispositivi è supportata in Defender per endpoint Piano 1 e Piano 2.

  10. Esaminare le impostazioni nel riquadro Rivedi e crea . Fare clic su Create per applicare le regole.

    Pagina del profilo Create

I nuovi criteri di riduzione della superficie di attacco per le regole di riduzione della superficie di attacco sono elencati in Sicurezza degli endpoint | Riduzione della superficie di attacco.

Pagina di riduzione della superficie di attacco

Passaggio 2: Comprendere la pagina di report delle regole di riduzione della superficie di attacco nel portale di Microsoft Defender

La pagina di segnalazione delle regole di riduzione della superficie di attacco è disponibile in Microsoft Defender portale>Segnala>le regole di riduzione della superficie di attacco. Questa pagina include tre schede:

  • Detections
  • Configurazione
  • Aggiungere esclusioni

Scheda Rilevamenti

Fornisce una sequenza temporale di 30 giorni degli eventi di controllo e bloccati rilevati.

Grafico che mostra la scheda dei rilevamenti riepilogativi delle regole di riduzione della superficie di attacco.

Il riquadro delle regole di riduzione della superficie di attacco offre una panoramica degli eventi rilevati in base alle regole.

Nota

Esistono alcune variazioni nei report delle regole di riduzione della superficie di attacco. Microsoft sta aggiornando il comportamento dei report sulle regole di riduzione della superficie di attacco per offrire un'esperienza coerente.

Grafico che mostra la scheda di configurazione riepilogativa delle regole di riduzione della superficie di attacco.

Selezionare Visualizza rilevamenti per aprire la scheda Rilevamenti .

Screenshot che mostra la funzionalità di ricerca dei report delle regole di riduzione della superficie di attacco.

Nel riquadro GroupBy e Filter sono disponibili le opzioni seguenti:

GroupBy restituisce i risultati impostati sui gruppi seguenti:

  • Nessun raggruppamento
  • File rilevato
  • Controllo o blocco
  • Regola
  • App di origine
  • Dispositivo
  • Utente
  • Autore

Nota

Quando si filtra per regola, il numero di singoli elementi rilevati elencati nella metà inferiore del report è attualmente limitato a 200 regole. È possibile usare Esporta per salvare l'elenco completo dei rilevamenti in Excel.

Screenshot che mostra la funzionalità di ricerca dei report delle regole asr nella scheda configurazione.

Filtra apre la pagina Filtro in base alle regole , che consente di definire l'ambito dei risultati solo per le regole di riduzione della superficie di attacco selezionate:

I rilevamenti delle regole di riduzione della superficie di attacco vengono filtrati in base alle regole

Nota

Se si dispone di una licenza microsoft Microsoft 365 Security E5 o A5, Windows E5 o A5, il collegamento seguente apre la scheda Rilevamenti delle riduzioni> della superficie di attacco Microsoft Defender 365 Report>.

Scheda Configurazione

Elenchi, per ogni computer, lo stato aggregato delle regole di riduzione della superficie di attacco: Off, Audit, Block.

Screenshot che mostra la scheda di configurazione principale delle regole di riduzione della superficie di attacco.

Nella scheda Configurazioni è possibile verificare, in base al dispositivo, quali regole di riduzione della superficie di attacco sono abilitate e in quale modalità selezionare il dispositivo per cui si vogliono esaminare le regole di riduzione della superficie di attacco.

Screenshot che mostra il riquadro a comparsa delle regole asr per aggiungere regole asr ai dispositivi.

Il collegamento Introduzione apre l'interfaccia di amministrazione Microsoft Intune, in cui è possibile creare o modificare i criteri di endpoint protection per la riduzione della superficie di attacco:

Voce di menu *Sicurezza endpoint nella pagina Panoramica

In Sicurezza degli endpoint | Panoramica, selezionare Riduzione della superficie di attacco:

Riduzione della superficie di attacco in Intune

Endpoint Security | Si apre il riquadro di riduzione della superficie di attacco:

Riquadro Riduzione della superficie di attacco per la sicurezza degli endpoint

Nota

Se si dispone di una licenza di Microsoft Defender 365 E5 (o Windows E5?), questo collegamento aprirà la scheda Configurazioni di riduzione > della superficie di attacco Microsoft Defender 365 Reports>.

Aggiungere esclusioni

Questa scheda fornisce un metodo per selezionare le entità rilevate (ad esempio, i falsi positivi) per l'esclusione. Quando vengono aggiunte esclusioni, il report fornisce un riepilogo dell'impatto previsto.

Nota

Microsoft Defender le esclusioni av antivirus vengono rispettate dalle regole di riduzione della superficie di attacco. Vedere Configurare e convalidare le esclusioni in base all'estensione, al nome o alla posizione.

Riquadro per l'esclusione del file rilevato

Nota

Se si dispone di una licenza di Microsoft Defender 365 E5 (o Windows E5?), questo collegamento aprirà la scheda esclusioni della superficie > di attacco del Microsoft Defender 365 Report>.

Per altre informazioni sull'uso del report sulle regole di riduzione della superficie di attacco, vedere Report sulle regole di riduzione della superficie di attacco.

Configurare le esclusioni per regola per la riduzione della superficie di attacco

Le regole di riduzione della superficie di attacco ora offrono la possibilità di configurare esclusioni specifiche delle regole, note come "Esclusioni per regola".

Nota

Le esclusioni per regola non possono attualmente essere configurate tramite PowerShell o Criteri di gruppo.

Per configurare esclusioni di regole specifiche:

  1. Aprire l'interfaccia di amministrazione Microsoft Intune e passare a Home Endpoint securityAttack surface reduction (Riduzione della superficie di attacco perla sicurezza> degli endpoint home>).

  2. Se non è già configurato, impostare la regola per cui si desidera configurare le esclusioni su Controlla o Blocca.

  3. In Asr Only Per Rule Exclusion (Solo asr solo per esclusione regola) fare clic sull'interruttore per passare da Non configurato a Configurato.

  4. Immettere i nomi dei file o dell'applicazione da escludere.

  5. Nella parte inferiore della procedura guidata Create profilo selezionare Avanti e seguire le istruzioni della procedura guidata.

Screenshot che mostra le impostazioni di configurazione per l'aggiunta di esclusioni asr per regola.

Consiglio

Usare le caselle di controllo accanto all'elenco di voci di esclusione per selezionare gli elementi in Elimina, Ordina, Importa o Esporta.

Usare PowerShell come metodo alternativo per abilitare le regole di riduzione della superficie di attacco

È possibile usare PowerShell, in alternativa a Intune, per abilitare le regole di riduzione della superficie di attacco in modalità di controllo per visualizzare un record di app che sarebbero state bloccate se la funzionalità fosse stata completamente abilitata. È anche possibile avere un'idea della frequenza con cui le regole vengono attivate durante l'uso normale.

Per abilitare una regola di riduzione della superficie di attacco in modalità di controllo, usare il cmdlet di PowerShell seguente:

Add-MpPreference -AttackSurfaceReductionRules_Ids <rule ID> -AttackSurfaceReductionRules_Actions AuditMode

Dove <rule ID> è un valore GUID della regola di riduzione della superficie di attacco.

Per abilitare tutte le regole di riduzione della superficie di attacco aggiunte in modalità di controllo, usare il cmdlet di PowerShell seguente:

(Get-MpPreference).AttackSurfaceReductionRules_Ids | Foreach {Add-MpPreference -AttackSurfaceReductionRules_Ids $_ -AttackSurfaceReductionRules_Actions AuditMode}

Consiglio

Se si vuole controllare completamente il funzionamento delle regole di riduzione della superficie di attacco nell'organizzazione, è necessario usare uno strumento di gestione per distribuire questa impostazione ai dispositivi della rete o delle reti.

È anche possibile usare provider di servizi di configurazione di Criteri di gruppo, Intune o MDM (Mobile Device Management) per configurare e distribuire l'impostazione. Per altre informazioni, vedere l'articolo principale sulle regole di riduzione della superficie di attacco .

Usare Windows Visualizzatore eventi Review come alternativa alla pagina di report delle regole di riduzione della superficie di attacco nel portale di Microsoft Defender

Per esaminare le app che sarebbero state bloccate, aprire Visualizzatore eventi e filtrare l'ID evento 1121 nel log microsoft-Windows-Windows Defender/operativo. Nella tabella seguente sono elencati tutti gli eventi di protezione di rete.

ID evento Descrizione
5007 Evento quando vengono modificate le impostazioni
1121 Evento quando una regola di riduzione della superficie di attacco viene attivata in modalità blocco
1122 Evento quando una regola di riduzione della superficie di attacco viene attivata in modalità di controllo

Panoramica della distribuzione delle regole di riduzione della superficie di attacco

Pianificare la distribuzione delle regole di riduzione della superficie di attacco

Abilitare regole di riduzione della superficie di attacco

Rendere operative le regole di riduzione della superficie di attacco

Informazioni di riferimento sulle regole di riduzione della superficie di attacco

Consiglio

Per saperne di più, Engage con la community Microsoft Security nella community tech: Microsoft Defender per endpoint Tech Community.